Jaromír Kuba: GDPR - pět minut po dvanáctné

02. Srpen 2018

Na internetu je celá řada článků, které se zabývají GDPR, nicméně jen v malém množství z nich naleznete konkrétní informace, jak jednat a co dělat. Jako Soukromníci nejsme zvyklí jen planě hovořit, proto přinášíme konkrétní tipy, jak se vypořádat s GDPR, určené hlavně pro drobné podnikatele.

Současný stav
Obecné nařízení (GDPR) nabylo účinnosti dne 25. 5. 2018, nicméně Česká republika nestihla schválit příslušný prováděcí zákon. Zde se sluší připomenout, že ve většině států EU prováděcí zákon mají, Slováky nevyjímaje. Kdo za současný stav může? Samozřejmě ten, kdo je „u kormidla“. Nařízení bylo schváleno 27. dubna 2016, vláda prováděcí zákon schválila teprve 21. března 2018 a ten následně doputoval do Sněmovny, kde se mu začnou ve výborech věnovat až v červenci. Reálný termín schválení tak vychází na čtvrtý kvartál 2018. Nemohu se nezeptat, co odpovědné osoby činily ty téměř dva roky. Jsme tak v situaci, kdy GDPR platí (jde o Nařízení EU, takže je účinné bez ohledu na to, že Česká republika při implementaci zaspala), ale není doplňující národní legislativa, která zákon zpřesňuje a řeší věci, které evropský zákonodárce nechal na jednotlivých státech.

K odpovědnosti za současný stav a zpoždění, které nás všechny dostává do složité situace, se přirozeně nikdo nehlásí. Je tak od státu krajně pokrytecké sekýrovat české občany za neplnění drobných zpoždění v situaci, kdy sám není schopen za celé 2 roky schválit zákon, který většina ostatních států schválit stihla. Do ošemetné situace se tak dostal i Úřad pro ochranu osobních údajů, který bude právě doposud neschváleným zákonem „pasován“ do role dozorového orgánu. Jaké je postavení úřadu ve chvíli, kdy zákon není přijat a samotné GDPR nechává určení dozorového úřadu na národní legislativě? Právní výklady se různí…

Stát zaspal i na poli informační osvěty, čehož využily některé firmy, pro jejichž praktiky se vžil výraz „2V – vyděsit a vyfakturovat“. K tomu by také nedošlo, kdyby tu byly jasné informace. Ty je ale třeba o něco opřít a těžko se mohou odpovědné orgány vyjadřovat v situaci, kdy právní názor, stanovisko, či vyjádření nelze opřít o stabilní legislativu.

Do současného stavu se snaží zasáhnout zákonodárci – jak? Na poslední chvíli se pokoušejí snížit sankce obcím. Jinými slovy českému živnostníkovi nikdo neodpustí ani pověstné „Ň“, zatímco pro samosprávy je GDPR moc náročné a složité a je třeba jim tak na poslední chvíli pomoci. Pokud se dle vyjádření některých odpovědných osob de facto nic nemění a GDPR není potencionálně likvidační pro české podnikatele, proč je tu tak vehementní snaha pomoci obcím razantním snížením pokut? Dosti ale o neutěšené legislativní situaci, níže nastíním možný postup, který bych zvolil v časové tísni.

Informační memorandum
Subjekty údajů (např. klienty) je třeba informovat, jak zpracováváte jejich osobní údaje. To se dělá nejlépe prostřednictvím www stránek. Podíval bych se tak na „informace o zpracování osobních údajů“ na stránkách firem, které mají stejný, či podobný předmět činnosti (dokument se může jmenovat i poučení subjektu údajů, informační memorandum, nebo ochrana osobních údajů atd.), přičemž bych volil zavedené firmy. Tím rozhodně nenavádím ke krádeži cizích dokumentů, nicméně díky internetu zjistíte, jak může tzv. informační memorandum vypadat a také se přesvědčíte, že v případě GDPR neexistuje jen jedna správná cesta. Nařízení je obecné (má to i v názvu), takže zatímco banky mají tyto informace většinou podrobné, jiní velcí hráči mají memoranda krátká, s obecnými odkazy na platnou legislativu a předpisy o archivaci dokumentů.

Pokud agenda zpracování osobních údajů není rozsáhlá, jednoduchá a obecná varianta informačního memoranda většinou postačuje.

2. Určitě bych navštívil stránky Úřadu pro ochranu osobních údajů, České advokátní komory a ministerstev. Získal bych tak metodiky, vzory dokumentů a doporučení, jimiž se lze řídit. Můj oblíbený je dokument z Ministerstva zdravotnictví, řešící implementaci GDPR v malých ordinacích, což je obecně dobře použitelné i pro malé firmy. Velmi dobrou práci odvedla i Ministerstva vnitra, práce a sociálních věcí, školství a další. Ačkoliv nejsou informace většinou určeny přímo pro živnostníky a drobné podnikatele, jsou poměrně dobře použitelné i pro ně.

3. Pořídil bych si vhodnou literaturu. Nejčastěji beru do ruky „Praktický manuál GDPR pro každého“ - jde o shrnutí GDPR v kostce, kde hledám pokaždé, když potřebuji „rychlou informaci“ o obsahu Nařízení. Na této knize jsem měl tu čest se autorsky podílet. Ke klientům běžně nosím i knihu od JUDr. Žůrka, spolu s publikacemi od JUDr. Navrátila (a kol.) a JUDr. Janečkové ve formě e-booku.

Prokázání souladu
Dále bych si udělal pořádek v osobních údajích – inventuru a na jejím základě vyhotovil jednoduchou dokumentaci pro prokázání souladu s Nařízením. Návod lze najít na mnoha místech, já osobně bych si vybral již zmíněnou metodiku pro malé ordinace ze stránek Ministerstva zdravotnictví. Pro ty nejmenší bych např. mapování zpracování s analýzou rizik dělal opravdu velmi jednoduché, viz vzory na blog.master.cz. Záznamy o činnostech také stačí jednoduché. Dále je třeba uzavřít zpracovatelskou smlouvu např. s externí účetní a externím IT. Vzory jsou ke stažení. Samozřejmě je třeba vhodným způsobem dbát na ochranu osobních údajů – doporučená jsou opatření, jako šifrování, instalace vhodného antiviru a firewallu. O tom si můžete přečíst na mnoha místech, je tak zbytečné se opakovat.

Pověřenec
Drtivá většina malých a středních podnikatelů mít svého pověřence nemusí, bližší informace lze nalézt na stránkách UOOU.

Co příště
V pokračováních se zaměřím podrobněji na jednotlivé části implementace. Přeji vám hodně štěstí a firmy, vyznávající princip „2V – vyděsit a vyfakturovat“ co nejdále od těla.

Bc. Jaromír Kuba,
člen Strany soukromníků České republiky, živnostník